Torna al blog
Maggio 23, 2026Guide

Come installare e configurare Fail2ban su Linux

Proteggi il VPS dagli attacchi brute-force installando Fail2ban con jail per SSH e Nginx.

Come installare e configurare Fail2ban su Linux

Fail2ban monitora i file di log e blocca temporaneamente gli indirizzi IP con comportamento malevolo, ad esempio tentativi SSH falliti ripetuti. È uno dei primi strumenti di sicurezza da installare su un nuovo VPS Hiddence.

Installazione di Fail2ban

bash
# Ubuntu / Debian
sudo apt update
sudo apt install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

# CentOS / RHEL / Alma / Rocky
sudo yum install epel-release -y
sudo yum install fail2ban -y
sudo systemctl enable fail2ban
sudo systemctl start fail2ban

Proteggere SSH

Crea un file di configurazione locale (non modificare jail.conf direttamente):

bash
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo nano /etc/fail2ban/jail.local

[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
bantime = 3600
findtime = 600

sudo systemctl restart fail2ban

Proteggere Nginx (opzionale)

Blocca IP che generano troppi errori 404 o di autenticazione:

bash
[nginx-http-auth]
enabled = true
port = http,https
filter = nginx-http-auth
logpath = /var/log/nginx/error.log
maxretry = 5

[nginx-noscript]
enabled = true
port = http,https
filter = nginx-noscript
logpath = /var/log/nginx/access.log
maxretry = 6

Controllare gli IP bannati

bash
sudo fail2ban-client status
sudo fail2ban-client status sshd

# Unban an IP if needed:
sudo fail2ban-client set sshd unbanip 1.2.3.4

Buone pratiche

  • Usa chiavi SSH invece delle password per ridurre la superficie d'attacco
  • Cambia la porta SSH predefinita solo insieme alle regole firewall
  • Inserisci l'IP dell'ufficio in ignoreip di fail2ban se necessario
  • Monitora regolarmente /var/log/fail2ban.log
  • Combina Fail2ban con UFW o Firewalld